Mamy liczne sygnały o tym, że sprzedawcy internetowi otrzymują wiadomości mailowe od Stowarzyszenia „Bądźmy Legalni” z informacją o niezgłoszeniu strony internetowej do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Poniżej opisujemy poszczególne kwestie zawarte w tym e-mailu, weryfikując je pod kątem obowiązującego stanu prawnego.
Niestety po raz kolejny spotykamy się z sytuacją, w której „Stowarzyszenie” próbuje skłonić sprzedawców internetowych do spełnienia wymogów prawnych, strasząc przy tym karami finansowymi i konsekwencjami prawnymi. O ile jednak samo zgłoszenie baz danych osobowych sklepu internetowego w GIODO w przeważającej większości przypadków jest konieczne, to sama forma wiadomości, pod którą podpisuje się Marek Dobrowolski zawiera liczne błędy i nieścisłości.
Poniżej wyjaśniamy większość z nich.
Zgłoszenie baz danych w GIODO – na czym to właściwie polega?
Praktycznie każdy sprzedawca internetowy w ramach prowadzonej działalności zbiera dane osobowe klientów, które wykorzystywane są chociażby w celu realizacji zamówienia, wysyłki newslletera, czy działań marketingowych. Oznacza to, że sprzedawca ma obowiązek zgłosić przetwarzane dane Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), zgodnie z art. 43 Ustawy o ochronie danych osobowych.
Stowarzyszenie „Bądźmy Legalni” podkreśla ten fakt na początku swojej wiadomości:
Rozpoczynając naszą akcję „BEZPIECZNA WIOSNA DLA KLIENTÓW” pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny,logowanie itp. bezwzględnie muszą być zarejestrowane w GIODO. (1)
Już na pierwszy rzut oka widać pierwszą nieścisłość – do GIODO nie zgłasza się strony internetowej, ale zbiory danych osobowych przetwarzanych w ramach prowadzonej działalności. Do takiego zgłoszenia zobligowany jest Administrator Danych Osobowych (ADO), czyli organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych w ramach prowadzonej działalności. W przypadku działalności jednoosobowej ADO to sam przedsiębiorca, z kolei przy spółkach Administratorem zostaje cały podmiot.
Co istotne można pominąć samo zgłoszenie baz danych wyznaczają Administratora Bezpieczeństwa Informacji (ABI), zgodnie z art. 43 ust. 12 punkt 1a Ustawy o ochronie danych osobowych:
Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji (…)
Wynika z tego jasno, że sformułowanie użyte w wiadomości:
„Państwa strona www nie jest jeszcze zarejestrowana w GIODO, a jest do tego prawnie zobligowana”
Jest nieprawdziwe i świadczy o braku znajomości obowiązujących przepisów.
Czy adres IP i e-mail stanowią dane osobowe?
W kolejnej części wiadomości Stowarzyszenia „Bądźmy Legalni” pojawiają się informacje dotyczące grup danych osobowych, które obligują do dokonania zgłoszenia w GIODO, jak adres e-mail czy adres IP. O ile adres e-mail zgodnie z interpretacjami samego GIODO wielokrotnie został uznany za dane osobowe (przede wszystkim ze względu na jego osobowy charakter w wielu przypadkach, np. adres w formie: jan.kowalski@domena.pl), to już adres IP niekoniecznie:
Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową. (2)
Kary nakładane przez GIODO. Czy faktycznie jest się czego bać?
Najbardziej newralgiczną kwestią zawartą w e-mailu Stowarzyszenia „Bądźmy Legalni” jest informacja o nakładaniu przez GIODO kary grzywny w wysokości nawet 200 tysięcy złotych w przypadku firm i 50 tysięcy dla osób fizycznych.
Warto tutaj zaznaczyć, że jak przyznaje samo GIODO, nie mają oni uprawnień do nakładania kary grzywny za niezgłoszenie baz danych osobowych:
(…) Ponadto należy przypomnieć, że żaden przepis nie uprawnia GIODO do nakładania kar
finansowych, w tym za niezgłoszenie zbioru danych osobowych do rejestracji. Za niedopełnienie tego obowiązku przewidziana jest odpowiedzialność karna,jednak o rodzaju kary decyduje sąd. Nawet jeśli byłaby nią kara grzywny, to nakłada ją sąd, i to on określa jej wysokość.(…) (3)
Sprzedawcy który nie zgłosił baz danych osobowych faktycznie grozi odpowiedzialność karna, jednak samo GIODO nie ma narzędzi prawnych do jej nałożenia – na wniosek Inspektora może to zrobić tylko sąd.
Wydaje się, że jest to drobna nieścisłość, jednak jasno wskazuje na brak podstawowej wiedzy merytorycznej autorów wiadomości, jaką otrzymali sprzedawcy internetowi.
Czy 3 dni wystarczą na dokonanie zgłoszenia baz danych?
Autorzy omawianej wiadomości wzywają do dopełnienia obowiązku rejestracji baz danych w ciągu 3 dni. Termin ten jest nierealny przede wszystkim dlatego, że na samo rozpatrzenie wniosku przez GIODO czeka się obecnie nawet do kilku miesięcy, dlatego termin 3 dniowy jest praktycznie nierealny.
Enigmatyczne pozostaje również sformułowanie:
W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia o popełnieniu przestępstwa oraz zawiadomienia o wszczęcie procedury kontrolnej GIODO.
Wszczęcie owego postępowania odbywa się z urzędu – samo stowarzyszenie może oczywiście złożyć donos, jednak nie oznacza to, że Urząd automatycznie zajmie się sprawą.
Rejestrować bazy czy nie?
Jeśli więc wiadomość od Stowarzyszenia „Bądźmy Legalni” pełna jest błędów i nieścisłości, to czy sprzedawca faktycznie ma obowiązek zgłosić bazy danych osobowych do GIODO lub powołać ABIego?
Oczywiście. Wskazuje na to jasno art. 40 Ustawy o ochronie danych osobowych:
Administrator danych osobowych jest zobowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.
Warto przy tym pamiętać, że Ustawę o ochronie danych osobowych uzupełnia rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dania 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych , w którym dodatkowo określa się ,że ADO powinien opracować i wdrożyć w swojej firmie politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym.
Jeśli szukasz więcej informacji na ten temat, skontaktuj się z nami telefonicznie lub przez formularz dostępny na stronie – z przyjemnością odpowiemy na wszystkie Twoje pytania i wątpliwości.
- Wszystkie cytaty z wiadomości od Stowarzyszenia „Bądźmy Legalni” pochodzą z e-maili, jakie otrzymali sprzedawcy internetowi, którzy zgłosili się do nas z prośbą o weryfikację zawartych w nich treści.
- http://www.giodo.gov.pl/319/id_art/2258/j/pl/
- http://giodo.gov.pl/560/id_art/8555/j/pl/
Witamy,
Pragniemy zauważyć, że Państwa firma nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.
Każda firma wystawiająca FV, wysyłająca FV, wysyłająca towar lub posiadająca na swoich stronach www elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO.
Każda firma posiada też we własnych zbiorach dane pracowników czy też Klientów.
Ustawa z dnia 29 sierpnia 1997 roku. Dane osobowe to według Art. 6 Ustawy o ochronie danych osobowych, „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Chodzi o takie elementy, mniej lub bardziej specyficzne, które pozwalają określić pośrednio lub bezpośrednio tożsamość danej osoby np. nazwisko, imię, adres zamieszkania, nr telefonu – czyli dane, które klient e-sklepu podaje podczas zawierania transakcji. W grupie tej znajdzie się także adres e-mail – często bowiem jest imienny i oraz adres IP, który może być daną osobową (informacja o tym jest możliwa do uzyskania z innych źródeł) jest zobligowana do spełnienia obowiązku rejestracji w GIODO.
GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu.
W związku z powyższym nasza Kancelaria Liberty wzywa Państwa do dokonania stosownej rejestracji zbioru danych osobowych wraz z uzupełnieniem niezbędnej i wymagalnej dokumentacji w terminie 3 dni roboczych.
W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia/zawiadomienia o wszczęcie procedury kontrolnej GIODO celem wyegzekwowania koniecznej rejestracji oraz wymiaru kary pieniężnej.
Informujemy również, że nasza Kancelaria Liberty nie świadczy usług prawnych, porad, konsultacji itp.
W przypadku pozyskania wiedzy w zakresie rejestracji i dokumentacji rejestracyjnej proponujemy kontaktować się z podmiotami, które świadczą profesjonalne usługi z w/w zakresu.
Przykładowe, losowe wybrane podmioty:
http://www.audyt-firmy.waw.pl
http://www.rejestruj.org.pl/
http://www.it-kompleks.info.pl
Z poważaniem
Marcin Nowaczyk
(Kancelaria „Liberty” o/Warszawa)
Witam, dostałem takiego maila, co mam zrobić?
Prosimy się skontaktować z nami mailowo: kontakt@osobowedane.pl lub telefonicznie: 61 847 55 18